O que é e por que “dinâmico”?

O QR Code é definido pela norma ISO/IEC 18004 e suporta alto nível de correção de erros e diferentes modos de codificação — por isso funciona bem impresso ou na tela do celular. Em controle de acesso, “dinâmico” significa que o conteúdo do QR muda periodicamente (ex.: a cada 15–60s) e é validado no servidor, evitando reutilização (replay) de um código capturado.

Ameaças comuns

  • Quishing (phishing via QR): códigos maliciosos que levam a sites falsos ou instalam malware; atenção a e-mails, adesivos em locais públicos e PDFs com QR.
  • Reprodução/clonagem: foto, print ou compartilhamento de tela para “emprestar” um QR; em ambientes críticos, QR pode ser copiado até por videochamada, exigindo mitigações adicionais.
  • Troca física de etiquetas: adulteração de QR legítimo por outro fraudulento (ex.: estacionamentos).

Boas práticas técnicas

  • Validade curta + servidor: gere tokens com TTL curto e valide no backend, registrando consumo e auditando tentativas.
  • Assinatura criptográfica: codifique no QR um token assinado (ex.: JWS/COSE) e verifique a assinatura antes de autorizar. Um exemplo público de QR assinado foi o EU Digital COVID Certificate, com verificação offline baseada em chaves públicas.
  • Antirreplicação: inclua nonce/contador de uso, expiração e escopo (porta/horário/visitante), além de device binding quando aplicável.
  • Leitor dedicado: use leitores/firmwares preparados para telas (contraste, brilho, anti-reflexo) e priorize conexão segura com o controlador.
  • Operação & UX: instruções claras (posição do celular, brilho), fila bem sinalizada e suporte a fallback (ex.: recepção) para exceções.

Como aplicar por segmento

Empresas

Visitantes e terceiros: convite com QR dinâmico (expira após o horário agendado), verificação online e registro automático. Funcionários: QR como credencial secundária para contingência; preferencial em recepção/eventos. Em áreas críticas, combine com crachá/biometria.

Condomínios

Convidados: envio pelo app com validade curta e regras por horário/portaria. Portaria/catracas: moradores podem usar credenciais principais (facial/cartão); QR dinâmico acelera o fluxo de visitantes. Elevadores por andar: autorização vinculada à unidade, com expiração automática após a visita.

Instituições de Ensino

Carteirinha digital: acesso a catracas e bibliotecas com QR dinâmico e vínculo ao cadastro do aluno. Eventos/vestibulares: credenciais temporárias para participantes e fornecedores. Áreas restritas: preferir combinação com biometria em laboratórios ou salas de TI.

Checklist rápido de segurança

  • Evitar QR estático para acesso físico; prefira tokens dinâmicos com expiração.
  • Assinar o conteúdo e validar assinatura/expiração/escopo antes de autorizar.
  • Registrar auditoria e bloquear reuso (nonce/contador/blacklist de tokens usados).
  • Treinar usuários contra quishing; desconfiar de adesivos e e-mails com QR inesperados.
  • Prever contingências (falha de rede/bateria) sem afrouxar política de segurança.
QR dinâmico funciona muito bem para visitantes e acessos ocasionais. Para credenciais de uso contínuo em áreas críticas, combine com métodos mais fortes e políticas anti-replay.